Cuando todavía no se han acallado los ecos del último fallo de seguridad grave de Android, el experto en seguridad Craig Young ha sacado otro problema a la luz en la conferencia de seguridad Defcon, celebrada en Las Vegas este pasado fin de semana. Se trata de una vulnerabilidad del sistema de autenticación en un click de Android, que pone en peligro las cuentas de usuario de Google. y permite que apps maliciosas y usuarios sin autorización puedan tomar el control de dichas cuentas.
Todo se debe a una función, llamada weblogin, que permite a los usuarios del sistema operativo para dispositivos móviles Android acceder a las webs y servicios de Google sin tener que escribir la contraseña de su cuenta. Funciona de forma muy sencilla: la función genera un token (identificador de acceso) único, que se emplea para autenticar directamente a los usuarios de Google en las cuentas de usuario de los servicios de Google que tengan configuradas en sus smartphones y tablets.
Si duda, esta función ofrece muchas ventajas y proporciona más comodidad y una mejor experiencia de usuario a los poseedores de un dispositivo con Android. Pero tal como ha manifestado Young, que trabaja para la compañía de seguridad Tripwire, pone en peligro no sólo el contenido y el acceso a las cuentas de Google personales, sino que también puede afectar a usuarios profesionales y negocios ya que el problema compromete las cuentas de Google Apps.
Para demostrar que el problema existía, Young creó una app maliciosa, cuyo fin era robar tokens de acceso que usaban la función weblogin y enviarlos a otro usuario, que puede utilizarlos después para acceder a cualquier cuenta de Google del usuario afectado desde un simple navegador web, ya sea de Gmail, Google Drive o Google Calendar. De esta forma, el atacante tiene acceso al correo, los contactos y los documentos personales y profesionales de la víctima. Incluso puede acceder a Google Play.
La app en cuestión simulaba ser una herramienta de visualización de mercados financieros, creada como complemento para Google Finance, que publicó en Google Play. En la descripción de la app, Young indicó claramente que se trataba de una app maliciosa, que los usuarios no deberían instalar. Si alguien lo hace, verá que durante la instalación, pide permiso para localizar las cuentas que hay en el dispositivo, utilizarlas y acceder a la red. Al acabar su instalación y abrirla, aparece una petición para acceder a una dirección web, que empieza por weblogin, y que incluye la URL finance.google.com. Aunque no da más información sobre su actividad, es muy posible que acepten la mayoría de usuarios, según Young.
Cuando lo hacen, se genera un token y los usuarios acceden automáticamente a la web de Google Finance. Pero al mismo tiempo, dicho token se envía, a través de una conexión cifrada, a un servidor controlado por un tercero, que en este caso sería el atacante. Y, dada la naturaleza del problema, el token en cuestión no sólo da acceso a Google Finance, sino a todos los servicios de Google.
La aplicación permaneció un mes en Google Play, tiempo en el que no hubo ningún indicio de que fuese comprobada por Bouncer, el sistema de búsqueda de apps maliciosas en la tienda Play de Google. Pasado este tiempo, fue retirada por ser considerada maliciosa y ahora, cada vez que alguien trata de instalarla, la app de verificación de Android la identifica como software espía y la rechaza. Según Young, el problema se comunicó a Google el pasado mes de febrero, y la compañía comenzó inmediatamente a bloquear algunas de las cosas que podían hacer los atacantes mediante esta vulnerabilidad.
